I tanti dubbi sul voto tramite blockchain che Casaleggio deve chiarire
Anche la catena a blocchi ha dei difetti che possono essere sfruttati da hacker malintenzionati, difetti che aumentano il rischio di elezioni non democratiche e falsificabili
di ARTURO DI CORINTO per AGI del 9 Marzo 2019
“Ne abbiamo parlato tanto, lo abbiamo pensato, immaginato, sperato, sognato. E ora c’è. Stiamo parlando del voto su blockchain, la nuova frontiera della democrazia diretta che consente di utilizzare la Rete in un nuovo modo”.
Con questa dichiarazione Davide Casaleggio, guru tecnologico del Movimento 5 Stelle e presidente (e fondatore) dell’associazione Rousseau, ha annunciato per oggi un hackhaton al Villaggio Rousseau per presentare “la prima versione funzionante di un sistema di voto su blockchain che garantisce l’anonimato e permette una certificazione distribuita del voto”.
Bene, bravo, bis. Il metodo in queste cose è importante.
Perché è importante la trasparenza del software di voto
Casaleggio afferma di volere rendere disponibile il codice sorgente del software per il voto, e chiama a raccolta hacker e specialisti per testarlo e migliorarlo. Niente di eccezionale, direte, è il modo in cui funziona da sempre la produzione di software se il codice non è proprietario e coperto da segreto industriale. E consentire l’analisi del codice è il modo migliore per coinvolgere specialisti e programmatori. È una furbata, dirà qualcuno, perché laddove non arrivano i tuoi programmatori, intervengono gli altri ad aiutarti, per sfida intellettuale, divertimento o ideologia. In questo caso gli “hacker” ti aiutano a testare, modificare e migliorare un prodotto che più di altri – è un software di voto – deve essere semplice da usare e verificabile.
“Sperimenteremo le prime votazioni blockchain anonime e con certificazione distribuita. Una prima mondiale per questo tipo di tecnologia che spero diventerà un punto di partenza per lo sviluppo di nuovi modelli di voto democratico e di partecipazione diretta alla vita pubblica”.
La prima volta? Nello stesso post sul Blog delle Stelle scrive invece che di esempi ce ne sono già: “Negli ultimi mesi abbiamo ragionato molto su come il voto potesse essere gestito su blockchain. Per farlo abbiamo studiato tutti i casi a livello internazionale, analizzando le debolezze e le criticità, ma anche i grandi vantaggi che sono stati introdotti nelle varie sperimentazioni nel mondo. Abbiamo preso il meglio e siamo andati oltre.” Ecco, di criticità ne sono note tante, al punto che le democrazie che hanno sperimentato questo tipo di voto ci hanno rinunciato.
I dubbi sull’affidabilità del voto elettronico
Ora, se la piattaforma di voto elettronico, con blockchain o senza, è usata per decidere i destini di un’associazione privata è pacifico – l’Ordine dei Giornalisti ad esempio vota online – ma pensare di usare il voto elettronico per le competizioni politiche non va proprio bene. Per un motivo ineludibile nelle democrazie rappresentative: il voto è vincolante in ambiti costituzionali, e per tre fattori che neanche la blockchain può garantire: il voto deve essere segreto, verificabile e non può essere oggetto di scambio.
Come può la blockchain garantirlo? La catena a blocchi, questo registro distribuito e replicato sui computer di tutti quelli che vi contribuiscono, è un sistema che garantisce l’immutabilità delle registrazioni e un’elevata affidabilità nelle transazioni, ad esempio di monete come i bitcoin, ma le transazioni sono “pseudoanonime”, nel senso che è sempre possibile risalire al “portafoglio” di chi partecipa alla transazione pur senza sapere di chi si tratti. Può funzionare per certificare il voto? Chi mi garantisce che votando da casa con la blockchain io non sia ricattato da qualcuno che mi alita sul collo?
La blockchain ha caratteristiche di inalterabilità, ma anche la blockchain può essere attaccata. Solo in presenza di meccanismi di garanzia potrebbe essere usata per il voto ad esempio consentendo a persone qualificate la verificabilità del voto espresso e registrato. Anche qui però, come garantire che il voto non sia manipolato elettronicamente una volta registrato e riportato alla sua origine dopo il conteggio e l’attribuzione cancellando le prove della manipolazione? Falsificare un voto cartaceo come raccontato da Roberto Saviano si può fare con la coercizione e un controllo capillare del territorio, come pure hanno fatto i signori delle tessere dei partiti, ma il livello di scala della manipolazione elettronica è potenzialmente di gran lunga superiore.
I limiti del voto elettronico
Proprio in uno studio dei Copernicani, associazione di innovatori digitali, viene ricordato il paradosso della trasparenza per cui la verificabilità diretta che non coinvolge terze parti fidate implica la possibilità di introduzione del voto di scambio, limitandone l’utilizzo nei processi democratici istituzionali in cui la confidenzialità è un requisito assoluto.
È Stefano Quintarelli che ci spiega come, nei processi democratici istituzionali, le operazioni di voto eseguite in presenza di seggi elettorali ‘fisici’, in linea teorica potrebbero avvalersi di strumenti di voto elettronico senza la traccia cartacea:
- solo se utilizzassero tecniche di prove della computazione e del corretto immagazzinamento dei dati;
- solo se le persone disponessero di strumenti verificati e verificabili e di un livello di competenza adeguata per effettuarne una verificabilità autonoma;
- solo se la filiera logistica fosse controllata gestendo tutta la catena di fiducia dalla fornitura dell’hardware in poi, fino alla dismissione delle macchine e alla loro formattazione;
- solo se tutto il procedimento fosse controllato e verificato da terze parti di garanzia.
I Paesi che ci hanno rinunciato
Le esperienze realizzate ad oggi nel mondo hanno dimostrato criticità in uno o più di di questi elementi ed il consenso degli esperti è che i sistemi più efficaci ed efficienti siano basati sulla verificabilità del voto carta e matita.
Sentiamo infatti ancora l’eco di quello che è accaduto in Estonia dove la registrazione e l’identificazione dell’elettore avvengono mediante la carta d’identità elettronica, carta che si è successivamente rivelata difettosa e subito ritirata dal Governo il 3 novembre 2017. D’altra parte paesi come Norvegia, Germania, Francia e Canada anche dopo alcuni test, hanno rinunciato proprio al voto online, per motivi di sicurezza. Il contrario di quello che però hanno fatto a Tsukuba, città giapponese che ha di recente adottato la catena a blocchi per le elezioni municipali. Negli USA sono innumerevoli gli esempi di manipolazione del voto elettronico che hanno causato l’intervento del FBI e dei servizi di sicurezza che ne hanno sconsigliato l’uso.
Anche la blockchain può fallire
A questo proposito netta è l’opinione di Fabio Pietrosanti, direttore di Hermes, centro per la trasparenza e tra i fondatori di Globaleaks: “Nel caso di Rousseau non è tecnicamente possibile offrire alcuna garanzia, anche in presenza di certificatori terzi, che la base dati o l’applicativo web di raccolta delle espressioni di voto abbia mantenuto la sua integrità durante i processi di consultazione, neanche tramite l’introduzione della tecnologia blockchain annunciata da Casaleggio.”
È lo stesso Pietrosanti che afferma: “affinché ‘ci si possa fidare’, un sistema di voto elettronico per finalità non elettive dovrebbe:
- Essere basato su software libero, realizzato e manutenuto con il contributo di tutti;
- Essere gestito da una pluralità di soggetti per la verifica indipendente in qualunque momento.
- Essere oggetto di analisi specialistiche e accademiche, con relativa peer-review.
Nelle intenzioni di Casaleggio dovrebbero essere garantiti i primi due elementi, il terzo si vedrà. Ricordando che per definizione ogni software ha un bug, una vulnerabilità, un difetto di funzionamento, e che anche la blockchain ce l’ha. Noi non abbiamo dubbi, lo sappiamo per certo.